¿Qué es Azure VPN Gateway?
Azure VPN Gateway es un servicio que se puede usar para enviar tráfico cifrado entre una red virtual de Azure y ubicaciones locales a través de la red pública de Internet. También puede usar VPN Gateway para enviar tráfico cifrado entre las redes virtuales de Azure a través de la red de Microsoft. VPN Gateway usa un tipo específico de puerta de enlace de red virtual de Azure denominada puerta de enlace de VPN. Se pueden crear varias conexiones a la misma puerta de enlace de VPN. Al crear varias conexiones a la misma instancia de VPN Gateway, todos los túneles VPN comparten el ancho de banda de puerta de enlace disponible.
¿Por qué usar VPN Gateway?
Estos son algunos de los escenarios clave de VPN Gateway:
Envía tráfico cifrado entre una red virtual de Azure y una ubicación local a través de Internet público. Para hacerlo puede usar los siguientes tipos de conexiones:
Conexión de sitio a sitio:conexión de túnel VPN IPsec/IKE entre la puerta de enlace de VPN y un dispositivo VPN local.
Conexión de punto a sitio: VPN a través de OpenVPN, IKEv2 o SSTP. Este tipo de conexión le permite conectarse a una red virtual desde una ubicación remota, como desde una conferencia o desde casa.
Envíe tráfico cifrado entre redes virtuales. Para hacerlo puede usar los siguientes tipos de conexiones:
Red virtual a red virtual: una conexión de túnel VPN IPsec/IKE entre la puerta de enlace de VPN y otra puerta de enlace de VPN de Azure que usa un tipo de conexión de red virtual a red virtual. Este tipo de conexión está diseñado específicamente para conexiones de red virtual a red virtual.
Conexión de sitio a sitio: una conexión de túnel VPN IPsec/IKE entre la puerta de enlace de VPN y otra puerta de enlace de VPN de Azure. Este tipo de conexión, cuando se usa en la arquitectura de red virtual a red virtual, usa el tipo de conexión de sitio a sitio (IPsec), que permite conexiones entre locales a la puerta de enlace, además de conexiones entre puertas de enlace de VPN.
Configure una VPN de sitio a sitio como una ruta de conmutación por error segura para ExpressRoute. Para hacerlo, use:
- ExpressRoute + VPN Gateway: combinación de conexiones de ExpressRoute y VPN Gateway (conexiones coexistentes).
Use redes privadas virtuales de sitio a sitio para conectarse a los sitios que no estén conectados mediante ExpressRoute. Puede hacerlo con:
- ExpressRoute + VPN Gateway: combinación de conexiones de ExpressRoute y VPN Gateway (conexiones coexistentes).
Planificación y diseño
Como puede crear varias configuraciones de conexión con VPN Gateway, debe determinar qué configuración se adapta mejor a sus necesidades. Las conexiones de punto a sitio, de sitio a sitio y en las que coexisten ExpressRoute y sitio a sitio tienen instrucciones y requisitos de configuración de recursos diferentes.
Consulte el artículo Topología y diseño de VPN Gateway para ver topologías de diseño y vínculos a las instrucciones de configuración. En las secciones siguientes del artículo se resaltan algunas de las topologías de diseño que se usan con más frecuencia.
Tabla de planeación
La tabla siguiente puede ayudarle a decidir la mejor opción de conectividad para su solución.
| De punto a sitio | De sitio a sitio | |
|---|---|---|
| Servicios de Azure compatibles | Cloud Services y Virtual Machines | Cloud Services y Virtual Machines |
| Anchos de banda típicos | Se basa en la SKU de puerta de enlace | Agregación típica de < 10 Gbps |
| Protocolos admitidos | Protocolo de túnel de sockets seguros (SSTP), OpenVPN e IPsec | IPsec |
| Enrutamiento | RouteBased (dinámico) | Admitimos elementos basados en directivas (enrutamiento estático) y basados en enrutamiento (VPN de enrutamiento dinámico) |
| Resistencia de la conexión | activa-pasiva | activa-pasiva o activa-activa |
| Caso de uso típico | Acceso seguro a redes virtuales de Azure para usuarios remotos | Escenarios de desarrollo, pruebas y laboratorio, y cargas de trabajo de producción a pequeña y mediana escala para servicios en la nube y máquinas virtuales |
| Acuerdo de Nivel de Servicio | Acuerdo de Nivel de Servicio | Acuerdo de Nivel de Servicio |
| Precios | Precios | Precios |
| Documentación técnica | VPN Gateway | VPN Gateway |
| P+F | Preguntas más frecuentes sobre VPN Gateway | Preguntas más frecuentes sobre VPN Gateway |
Zonas de disponibilidad
Las puertas de enlace de VPN se pueden implementar en Azure Availability Zones. Esto aporta una mayor disponibilidad, escalabilidad y resistencia a las puertas de enlace de red virtual. Implementar puertas de enlace en Azure Availability Zones separa de forma física y lógica las puertas de enlace dentro de una región, y protege la conectividad de red local en Azure de errores de nivel de zona. Consulte Acerca de las puertas de enlace de red virtual con redundancia de zona en Azure Availability Zones.
Configuración de VPN Gateway
Una conexión de puerta de enlace de VPN se basa en varios recursos con una configuración específica. En algunos casos, los recursos se deben configurar en un orden determinado. La configuración que ha elegido para cada recurso es fundamental para crear una conexión correcta.
Para obtener información sobre los recursos individuales y la configuración de VPN Gateway, consulte Acerca de la configuración de VPN Gateway y Acerca de las SKU de puerta de enlace. Estos artículos contienen información que le ayudará a entender los tipos de puerta de enlace, de SKU de puerta de enlace, de VPN y de conexión, así como las subredes de puerta de enlace, las puertas de enlace de red local y otras configuraciones de recursos que pueden interesarle.
Para obtener diagramas de diseño y vínculos a artículos de configuración, consulte el artículo Topología y diseño de VPN Gateway.
SKU de puerta de enlace
Al crear una puerta de enlace de red virtual, hay que especificar la SKU de la puerta de enlace que desea usar. Seleccione las SKU que cumplan sus requisitos en función de los tipos de cargas de trabajo, rendimientos, características y Acuerdos de Nivel de Servicio. Para obtener más información sobre las SKU de puerta de enlace, incluidas las características admitidas, las tablas de rendimiento, los pasos de configuración y las cargas de trabajo de producción frente a las pruebas de desarrollo, consulte Acerca de las SKU de puerta de enlace.
| VPN Puerta de enlace Generación |
SKU | Túneles de S2S/VNet a VNet |
P2S P2S SSTP |
P2S P2S IKEv2/OpenVPN |
Agregado de rendimiento agregado |
BGP | Con redundancia de zona | Número de máquinas virtuales admitidas en la red virtual |
|---|---|---|---|---|---|---|---|---|
| Generación 1 | Basic | Máx. 10 | Máx. 128 | No compatible | 100 Mbps | No compatible | No | 200 |
| Generación 1 | VpnGw1 | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Compatible | No | 450 |
| Generación 1 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Compatible | No | 1300 |
| Generación 1 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Compatible | No | 4000 |
| Generación 1 | VpnGw1AZ | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Compatible | Sí | 1 000 |
| Generación 1 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Compatible | Sí | 2000 |
| Generación 1 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Compatible | Sí | 5000 |
| Generación 2 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Compatible | No | 685 |
| Generación 2 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Compatible | No | 2240 |
| Generación 2 | VpnGw4 | Máx. 100* | Máx. 128 | Máx. 5000 | 5 Gbps | Compatible | No | 5300 |
| Generación 2 | VpnGw5 | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Compatible | No | 6700 |
| Generación 2 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Compatible | Sí | 2000 |
| Generación 2 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Compatible | Sí | 3300 |
| Generación 2 | VpnGw4AZ | Máx. 100* | Máx. 128 | Máx. 5000 | 5 Gbps | Compatible | Sí | 4400 |
| Generación 2 | VpnGw5AZ | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Compatible | Sí | 9000 |
(*) Si necesita más de 100 túneles VPN de S2S, use Virtual WAN en lugar de VPN Gateway.
Precios
Se paga por dos cosas: los costos de proceso por horas de la puerta de enlace de red virtual y la transferencia de datos de salida de esta. Puede encontrar más información sobre los precios en la página de precios. Para los precios de SKU de puerta de enlace heredada, consulte la página de precios de ExpressRoute y vaya a la sección Puertas de enlace de red virtual.
Costos del proceso de puerta de enlace de red virtual
Cada puerta de enlace de red virtual tiene un costo de proceso por horas. El precio se basa en la SKU de la puerta de enlace que especifique al crear una puerta de enlace de red virtual. El costo es para la puerta de enlace en sí y se agrega a la transferencia de datos que pasa a través de la puerta de enlace. El costo de una configuración activa-activa es igual que el de activa-pasiva. Para más información acerca de las SKU de puerta de enlace para VPN Gateway, consulte SKU de puerta de enlace.
Costos de la transferencia de datos
Los costos de transferencia de datos se calculan en función del tráfico de salida de la puerta de enlace de red virtual de origen.
- Si va a enviar tráfico al dispositivo VPN local, se le cobrará por la tasa de transferencia de datos de salida de Internet.
- Si va a enviar tráfico entre redes virtuales que se encuentren en diferentes regiones, el precio dependerá de la región.
- Si va a enviar tráfico solo entre redes virtuales que están en la misma región, no habrá ningún costo por datos. El tráfico entre redes virtuales de la misma región es gratuito.
Novedades
Azure VPN Gateway se actualiza periódicamente. Para mantenerse al día con los anuncios más recientes, consulte el artículo Novedades. En el artículo se resaltan los siguientes puntos de interés:
- Versiones recientes
- Versiones preliminares en curso con limitaciones conocidas (si procede)
- Problemas conocidos
- Funcionalidad en desuso (si procede)
También se puede suscribir a la fuente RSS y ver las más recientes actualizaciones de las características de VPN Gateway en la página Actualizaciones de Azure.
Preguntas más frecuentes
Para conocer las preguntas más frecuentes acerca de VPN Gateway, consulte Preguntas más frecuentes sobre VPN Gateway.